近日,福建美亚柏科司法鉴定中心于2022年受理的“某驾校跑马机设备功能物证鉴定案”、“某木马软件电子数据软件功能鉴定案”通过了多轮筛选和评审,正式入选并发表在中国法网司法行政(法律服务)案例库。本次入选,充分展示出了福建美亚柏科司法鉴定中心持续走在行业前沿,电子数据综合分析鉴定能力优异,鉴定文书格式规范、受理流程完整严谨,进一步巩固了中心电子数据司法鉴定行业领头羊地位。据悉,中国法网司法行政(法律服务)案例库是由司法部建设并运营的综合性法律服务平台。平台案例评选流程严格细致,囊括了案例整理、初步筛选、二次筛选、高级法院评选等诸多环节,每个环节都有相应筛选标准和要求,入选案例均经过多轮筛选和专家评审,具备行业代表性和前瞻性。福建美亚柏科司法鉴定中心自执业以来,秉持“客观、公正、真实、规范”的服务理念,先后共有5份鉴定文书入选中国法网司法行政(法律服务)案例库,涉及银行ATM、伪基站、服务器、木马软件、跑马机设备等多种检材类型。未来,中心还将持续攻坚克难、锤炼技术,为助力有关部门打击违法犯罪提供坚实支撑。案例一:
福建美亚柏科司法鉴定中心对电子数据软件功能进行电子数据鉴定案
【案情简介】
某市公安局接市局网安支队下发线索,嫌疑人涉嫌通过XSS黑客手段侵入资金盘或者虚拟币等网站,上传木马文件获取用户登录的cookie,然后利用获取的cookie免密登录网站进行提现,涉嫌非法控制计算机信息系统等罪名。【鉴定过程】
本鉴定依据《数字化设备证据数据发现提取固定方法》GA/T 756-2008、《电子物证数据搜索检验规程》GB/T 29362-2012、《软件功能鉴定技术规范》SF/Z JD0403004-2018。本鉴定使用数据分析工作站、FastStone Capture、Notepad++、VMware Workstation等软件进行检验。送检文本文件名为“代码.txt”,逻辑大小为35937字节,SHA-1值为***,SHA-256值为***。1.开启火绒安全软件,对数据分析工作站进行快速查杀,未发现风险项目。2.1送检“代码.txt”文件实质为js脚本程序,对送检代码进行格式化处理,方便后续分析,如图1、图2所示。图 SEQ 图 * ARABIC 1 “代码.txt”文件部分内容图 SEQ 图 * ARABIC 2 格式化后部分代码内容2.2代码引用了github网站上的开源项目,项目地址为****,该项目功能为截取当前网页内容,如图3所示。图 SEQ 图 * ARABIC 3 项目介绍的部分内容2.3经分析,该代码会对当前网页进行截图,转为base64编码并获取用户的cookie、网页源码、网页标题等数据后提交到****接口地址,如图4至图6所示。图 SEQ 图 * ARABIC 4 获取当前网页源码和截取当前网页函数代码图 SEQ 图 * ARABIC 5 获取当前网页cookie值和其他数据部分代码图 SEQ 图 * ARABIC 6 将获取到的数据进行发送“contact_mothership”函数代码3.1根据上述分析,送检代码文件实质为js脚本程序,将送检代码文件重命名为“1.js”并将其引用到本中心在虚拟机搭建的测试网站中,启动网站,IP地址为“172.25.17.115:10120”,如图7至图9所示。图 SEQ 图 * ARABIC 7 本中心的测试网站目录结构图 SEQ 图 * ARABIC 8 对送检代码进行引用图 SEQ 图 * ARABIC 9 本中心的测试网站登录页面3.2在浏览器地址栏中输入“http://172.25.17.115:10120/”,进入登录页面,并输入用户名和密码进行登录,按F12打开谷歌开发者工具,对网络流量进行监控,如图10、图11所示。图 SEQ 图 * ARABIC 10 访问“172.25.17.115:10120”登录页
图 SEQ 图 * ARABIC 11 打开谷歌开发者工具对网络流量进行监控3.3点击登录后,在网络流量检出****接口的请求,其中请求的数据中包含用户登录的cookie等,如图12至图14所示。图 12 成功登录界面
图 13 ****接口请求
图 14 ****发送的部分数据
3.3在发送的数据中检出图片的base64编码数据,数据的key为“screenshotpic”,将该数据转换为图片后为当前网页的截图,如图15、图16所示。图 15 “screenshotpic”值的部分内容4.1打开网址“192.168.19.231:9001”,该网站为本中心测试登录的网站,仅有一个登录框,用户名为“admin”,密码为“admin”,如图17所示。4.2输入用户名和密码成功登录网站,并将已登录状态的cookie值保存,如图18、图19所示。图 18 成功登录本中心测试网站
4.3清空chrome浏览器保存的cookie,刷新网站显示为未登录状态,将测试网站的cookie设置为保存的值,则显示为登录状态,如图20至图23所示。【分析说明】
Cookie是某些网站为了辨别用户身份,进行Session跟踪而储存在用户本地浏览器上的数据(通常经过加密),由用户浏览器暂时或永久保存的信息。网站通过获取浏览器保存的Cookie文件能够读取用户的登录信息还原用户的登录状态,但同理第三方亦可能通过获取未加密的Cookie文件在无需得知用户账号密码的情况下登录网站。本案中嫌疑人通过黑客手段上传送检的Javascript脚本文件到网站,当用户(受害人)登录网站时该js脚本文件被加载执行后会获取用户登录的cookie等数据提交到****接口地址,嫌疑人再利用获取的cookie实现异地免密登录,进而实施犯罪。【鉴定意见】
送检文本中的Javascript代码被引用后具有对用户当前访问的网页进行截图,获取用户的cookie、网页源码、网页标题等数据后提交到****接口地址的功能,其中的截图功能是通过引用github网站上的开源项目中的代码实现,项目地址为****。福建美亚柏科司法鉴定中心对某县公安局委托
驾校跑马机进行设备功能物证鉴定案
【案情简介】
公安机关在对某驾校训练场进行检查时,发现某教练车存在异样,通过进一步对车辆进行排查,发现了一个跑马机设备,该设备接入驾训终端后可以在车辆没有启动的情况下,自动产生速度,为学员累计驾训学时和里程。为了查明案件真相,现需要对该跑马机设备功能进行鉴定。
【鉴定过程】
本鉴定依据《软件功能鉴定技术规范》SF/Z JD0403004-2018、《数字化设备证据数据发现提取固定方法》GA/T 756-2008方法进行。
本鉴定使用数据分析工作站、数码摄录一体机等设备和FastStone Capture、哈希计算工具等软件进行检验。
开启火绒安全软件,对数据分析工作站进行查杀,未发现风险项目。
对送检跑马机设备拍照并进行唯一性编号,设备照片如图1所示。
图 SEQ 图 * ARABIC 1 送检跑马机设备照片对送检车载无线终端(智能驾培仪)设备拍照并进行唯一性编号,设备照片如图2、图3所示。送检设备型号为DTM-608FFS。图 SEQ 图 * ARABIC 2 送检车载无线终端(智能驾培仪)设备照片图 SEQ 图 * ARABIC 3 送检车载无线终端(智能驾培仪)设备背面标识的信息1.将送检车载无线终端(智能驾培仪)设备接入电源,打开开关,在设备界面中显示“智慧驾训仪”软件,点击“设置->信息查询->设备信息”选项查看设备信息,其中显示绑定的车架号为LSVSCB3F4********。如图4所示。图 SEQ 图 * ARABIC 4 车载无线终端(智能驾培仪)设备绑定的车架号2.将跑马机设备连接数据分析工作站。把跑马机设备中存储的“OBD.txt”文本内车架号修改为车载无线终端(智能驾培仪)设备绑定的车架号。如图5所示。
图 SEQ 图 * ARABIC 5 修改车架号
3.将送检跑马机设备连接车载无线终端(智能驾培仪)设备。在车载无线终端(智能驾培仪)设备成功连接上网络之后进行教练签到操作,输入教练身份证号码并点击“确认”按钮,进入人脸拍照界面,拍摄完成后点击“确定”按钮,此时界面显示教练信息,表示已签到成功。如图6至图10所示。图 SEQ 图 * ARABIC 6 教练签到界面图 SEQ 图 * ARABIC 7 点击“无卡签到”选项图 SEQ 图 * ARABIC 8 输入身份证号码图 SEQ 图 * ARABIC 9 进入人脸拍照界面图 SEQ 图 * ARABIC 10 教练签到成功4.点击“场地训练”按钮,选择训练的学员,进入人脸拍照界面,拍摄完成后点击“确定”按钮,此时对学员进行签到,签到成功后进入学员驾驶训练界面。如图11至图15所示。图 SEQ 图 * ARABIC 11 选择训练的学员图 SEQ 图 * ARABIC 12 进入人脸拍照界面
图 SEQ 图 * ARABIC 13 提示学员签到中
图 SEQ 图 * ARABIC 14 提示学员签到成功
图 SEQ 图 * ARABIC 15 学员驾驶训练界面5.当跑马机设备上显示数值为00时,此时学员驾驶训练界面显示行驶速度为0km/h。转动跑马机设备上的旋钮,使设备上显示的数值为23,此时学员驾驶训练界面中开始随机显示行驶速度,但行驶速度不超过跑马机设备上显示的数值。如图16至图18所示。图 SEQ 图 * ARABIC 16 显示行驶速度为22km/h图 SEQ 图 * ARABIC 17 显示行驶速度为16km/h
图 SEQ 图 * ARABIC 18 显示行驶速度为21km/h
6.点击“学员签退”按钮,进入人脸拍照界面,拍摄完成后点击“确定”按钮,此时对学员进行签退,签退成功后返回教练签到界面,同时软件在后台自动将学员驾训记录等数据进行上传。如图19至图21所示。图 SEQ 图 * ARABIC 19 进入人脸拍照界面
图 SEQ 图 * ARABIC 20 提示学员签退中
图 SEQ 图 * ARABIC 21 返回教练签到界面7.点击软件界面“设置->信息查询->查询驾训记录”选项,选择起始时间和结束时间后,可以查看学员里程、最高速、训练时间等驾训记录信息。如图22、图23所示。图 SEQ 图 * ARABIC 22 查看学员驾训记录
图 SEQ 图 * ARABIC 23 查看学员驾训记录8.点击软件界面“设置->辅助功能->OBD数据监测”选项,可以查看设备绑定的车架号、车辆速度、发动机转速等信息。当跑马机设备上显示数值为00时,软件界面中显示的车辆速度为0km/h,同时显示有发动机转速。如图24、图25所示。图 SEQ 图 * ARABIC 24 辅助功能界面
图 SEQ 图 * ARABIC 25 显示的车辆速度为0km/h9.转动跑马机设备上的旋钮,使设备上显示的数值为22,此时在界面中开始随机显示车辆速度和发动机转速,但车辆速度不超过跑马机设备上显示的数值,发动机转速不低于700rpm。如图26所示。图 SEQ 图 * ARABIC 26 OBD检测界面显示车辆速度10.在数据分析工作站启动FastStone Capture软件进行录像,对操作过程进行全程录像,打开浏览器,输入“sanming.*****************”网址并访问,进入“****云服务平台系统”登录页面,输入委托方提供帐号及密码进行登录,登录完成后查看学员的驾训记录,在记录中存在上述车载无线终端(智能驾培仪)设备上传的驾训记录。选中驾训记录并点击“明细”按钮,可以查看本次驾训中学员签退照片、学员每分钟驾驶记录明细等详细信息。如图27至图29所示。图 SEQ 图 * ARABIC 27 查询到车载无线终端(智能驾培仪)上传的驾训记录
图 SEQ 图 * ARABIC 28 学员签退照片图 SEQ 图 * ARABIC 29 学员每分钟驾驶记录信息【分析说明】
1.车载无线终端(智能驾培仪)设备在正常情况下对教练和学员的签到、签退操作进行强制人脸验证,需要人脸比对通过才能正常使用。在本次鉴定中为方便操作,故暂时关闭强制人脸验证功能。2.OBD:是一种为汽车故障诊断而延伸出来的一种检测系统,可以监测发动机各系统运行状态情况。在本次鉴定中,“跑马机”设备模拟OBD中车架号、发动机转速、车辆速度等车载无线终端(智能驾培仪)设备需要获取的数据,使教练车在未发动的情况下,车载无线终端(智能驾培仪)设备仍能接收到车辆行驶速度、发动机转速等虚拟数据,用以累计学员驾训学时和里程。3.在学员签退后,车载无线终端(智能驾培仪)设备将学员驾训记录上传至维尔驾校云服务平台系统。【鉴定意见】
送检“跑马机”设备接入车载无线终端(智能驾培仪)设备后,通过转动“跑马机”设备上的旋钮,可以模拟OBD产生车辆速度、发动机转速等虚拟数据,以便车载无线终端(智能驾培仪)设备进行获取,从而达到控制车载无线终端(智能驾培仪)设备中发动机转速、车辆速度等数据的目的,并用以累计学员驾训学时和里程。在学员签退后,车载无线终端(智能驾培仪)设备将学员驾训记录上传至维尔驾校云服务平台系统。 
还没有评论,来说两句吧...